هشدارهای افتایی
پس از کشف آسیب‌پذیری روز صفر در سرورهای Oracle WebLogic، مجرمین سایبری در حال سوء استفاده از این آسیب‌پذیری و انتقال باج‌افزار هستند.
به گزارش معاونت بررسی مرکز افتا، به نقل از Cisco Talos، باج‌افزار مورد استفاده توسط مهاجمین Sodinokibi نام دارد که داده‌های سیستم قربانی را رمزگذاری می‌کند. همچنین نسخه‌هایی از باج‌افزار شناخته شده GandCrab نیز برای بهره‌برداری از آسیب‌پذیری روز صفر Oracle WebLogic استفاده شده است.
مهاجمین از آسیب‌پذیری CVE-2019-2725 که مولفه‌های WLS9_ASYNC و WLS-WSAT در WebLogic را تحت تاثیر قرار می‌دهد، بهره‌برداری کرده‌اند. هر مهاجمی که دسترسی HTTP به سرور WebLogic داشته باشد، به راحتی می‌تواند از این آسیب‌پذیری سوء استفاده کند. به این آسیب‌پذیری درجه حساسیت CVSS 9.8 اختصاص داده شده است و حملات اولیه در تاریخ 25 آوریل (5 اردیبهشت)، یک روز قبل از انتشار وصله بروزرسانی توسط Oracle، انجام شده است.
بطور معمول در حملات باج‌افزاری به نحوی تعامل کاربر مورد نیاز است تا باج‌افزار انتقال پیدا کند، برای مثال کلیک بر روی یک لینک مخرب و یا دانلود پیوست ایمیل، اما در این حمله مهاجمین با سوء استفاده از آسیب‌پذیری Oracle WebLogic، باعث شدند تا یک کپی از باج‌افزار از سمت IPهای تحت کنترل مهاجمین در سرور آسیب‌پذیر بارگذاری شود. در ادامه مهاجمین از نسخه 5.2 باج‌افزار GandCrab استفاده کردند که بنظر می‌رسد اینکار بدلیل عدم موفقیت در دریافت باج توسط باج‌افزار اول باشد.
نمونه پیام باج‌خواهی این باج‌افزار در تصویر زیر قابل مشاهده است:

 
با توجه به بحرانی بودن آسیب‌پذیری CVE-2019-2725 و سهولت سوء استفاده از آن، توصیه می‌شود تا نسبت به اعمال وصله‌های مربوطه اقدام شود.
نشانه‌های آلودگی (IoC):
هش‌های نمونه‌های باج‌افزار:

    0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d
   34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160
    74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac
    95ac3903127b74f8e4d73d987f5e3736f5bdd909ba756260e187b6bf53fb1a05
    fa2bccdb9db2583c2f9ff6a536e824f4311c9a8a9842505a0323f027b8b51451
 


آدرس‌های توزیع:
   hxxp://188.166.74[.]218/office.exe • 
 hxxp://188.166.74[.]218/radm.exe  •  
 hxxp://188.166.74[.]218/untitled.exe •  
   hxxp://45.55.211[.]79/.cache/untitled.exe • 
   
IP مهاجم:
   130.61.54[.]136• 
دامنه مهاجم:
   decryptor[.]top • 
منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.